Aktualisiert 27.10.2016 13:14

SicherheitslückenDas dreckige Geschäft mit digitalen Waffen

Der Handel floriert: Für kritische Sicherheitslücken werden teils exorbitante Preise bezahlt. Auch Behörden mischen mit.

von
T. Bolzern
1 / 6
Der Handel mit Sicherheitslücken und Exploits, Schadprogrammen, die diese Lücken systematisch ausnutzen, ist in den letzten Jahren explodiert.

Der Handel mit Sicherheitslücken und Exploits, Schadprogrammen, die diese Lücken systematisch ausnutzen, ist in den letzten Jahren explodiert.

Screenshot «Zero Days» (2016)
Die Preissspanne erstreckt sich von einigen hundert oder tausend Franken bis zu mehreren hunderttausend Franken.

Die Preissspanne erstreckt sich von einigen hundert oder tausend Franken bis zu mehreren hunderttausend Franken.

Scip AG
Ein paar Preisbeispiele (Stand: August 2016).

Ein paar Preisbeispiele (Stand: August 2016).

5 Millionen Dollar hat Facebook in den letzten fünf Jahren für Schwachstellen bezahlt. Der Betrag wurde an Sicherheitsforscher abgegeben, die Lücken im System fanden und dem Unternehmen meldeten. Diese Bug-Bounty-Programme sind in der Branche verbreitet. Vor kurzem hat auch Apple solche Belohnungen ausgeschrieben – als einer der letzten grossen Tech-Konzerne.

Unbekannte Schwachstellen in Systemen sind sozusagen der heilige Gral für die Hacker. Denn daraus können sogenannte Exploits entwickelt werden – eine Art Schadprogramme, die diese Lücken systematisch ausnutzen. So lassen sich beispielsweise ganze Systeme und Netzwerke durchleuchten, ohne dass die Opfer etwas davon mitbekommen. Im Fachjargon heissen sie 0-Days (Zero Days). Dies, weil der Hersteller eines betroffenen Systems nichts von der Lücke weiss, also null Tage Vorwarnzeit hat. Dementsprechend gibt es zu dem Zeitpunkt auch keinen Patch dafür.

Bis zu einer Million Dollar

Auf dem Schwarzmarkt floriert das Geschäft mit Lücken und 0-Day-Exploits. Die Firma Scip AG aus Zürich beobachtet seit 15 Jahren den Markt. «Preise für Schwachstellen werden massgeblich durch die Popularität des angegriffenen Produkts getrieben», sagt IT-Sicherheitsexperte Marc Ruef von Scip.

Eine Lücke für Windows 10, mit der ein Angreifer Code aus der Ferne ausführen kann, kostet derzeit rund 70'000 Dollar. Die höchsten Preise erzielen aktuell Lücken für die Plattformen Android und iOS. «Gerade iOS-Lücken werden teilweise zu exorbitanten Preise gehandelt», so Ruef.

Und genau hier liegt das Problem. Denn das Missverhältnis zwischen den Schwarzmarktpreisen und den Bug-Bounty-Honoraren ist extrem. Während Apple bis zu 200'000 Dollar für gemeldete Lücken zahlt, liegen die Preise auf dem Schwarzmarkt zwischen 100'000 und einer Million Dollar. Wobei solche Preise stets Verhandlungssache seien, erklärt Ruef. «Wer Lücken sucht und Exploits schreibt, weil er damit viel Geld verdienen möchte, wird im Untergrund die viel besseren Karten haben.»

Höhere Boni lohnen sich für Hersteller nicht

Was also ist zu tun, um dem Schwarzhandel einen Riegel zu schieben? Die Bounty-Programme müssten massiv mehr Geld ausschütten, was sich aber für die Hersteller meist nicht lohnt. Ein solches Programm kann nie mehr Geld ausschütten, als man mit dem Produkt überhaupt verdienen könnte.

Im Schwarzmarkt hingegen haben die Akteure entweder einen politischen Auftrag mit undurchschaubarem wirtschaftlichem Hintergrund. «Oder es wird eine kriminelle Aktivität angestrebt, die ihrerseits eine sehr hohe finanzielle Ausbeute verspricht», so Ruef. Die Schwarzmarkt-Käufer müssten – abgesehen vom Einkauf des Exploits an sich – nicht noch Auslagen für Löhne, Miete, Sozialabgaben usw. tätigen.

Nachrichtendienste bieten mit

Dankbare Abnehmer der 0-Day-Exploits sind auch «Big Player», wie der Sicherheitsexperte sagt. «Diese können und wollen im Exploit-Handel sehr viel Geld ausgeben», sagt er. In erster Linie Nachrichtendienste würden unter Umständen mit allen Mitteln versuchen, an die wirklich wichtigen Exploits zu kommen.

«Ob diese 1 oder 2 Millionen US-Dollar kosten, spielt dann nur eine untergeordnete Rolle». Deshalb sei es auch schwierig, eine Prognose für die Zukunft abzugeben, wo die Maximalpreise irgendwann enden werden. «Zweistellige Millionenbeträge für iPhone-Exploits sind nicht unrealistisch», sagt Ruef.

Deine Meinung

Fehler gefunden?Jetzt melden.